Vision UI представляет собой набор модулей корпоративного класса для современных веб-проектов. В версиях 1.4.0 и ниже функция getSecureRand…
Vision UI представляет собой набор модулей корпоративного класса для современных веб-проектов. В версиях 1.4.0 и ниже функция getSecureRandomInt в security-kit версий ранее 3.5.0 (включена в Vision-ui <= 1.4.0) содержит критическую криптографическую слабость. Из-за молчаливого переполнения 32-битного целого числа в логике маскирования функция не может обеспечить равномерное распределение случайных чисел, когда запрашиваемый диапазон между min и max превышает 2³². Уязвимость была устранена в версии 1.5.0 [1]. Источники: - [1] https://github.com/DavidOsipov/Vision-ui/security/advisories/GHSA-c9xg-x7h3-mq2q - [2] https://github.com/DavidOsipov/Vision-ui/commit/347355859f05e98047efbd96fc0e61b9191324f1
Продукт использует генератор псевдослучайных чисел (PRNG) в контексте безопасности, однако алгоритм этого PRNG не является криптографически стойким.
https://cwe.mitre.org/data/definitions/338.html →Открыть в коллекции CWE →